Näytetään tekstit, joissa on tunniste tietoturva. Näytä kaikki tekstit
Näytetään tekstit, joissa on tunniste tietoturva. Näytä kaikki tekstit

13 tammikuuta, 2021

Liian aikaista Signal sovellukselle? 🤔

Normot löytäneet Signalin, eikö olekin hieno juttu?

Onhan se mutta en usko kyllä pätkääkään siihen, että normoja kiinnostaisi tippaakaan Signalin tietoturvaominaisuudet, vaan lähinnä koska Signal on nyt saanut viime aikoina hurjasti tilaa iltapäivälehdistä Facebookin WhatsApp muutoksen vuoksi ja koska Elon Musk suositteli sovellusta Twitterissä.

Signal on siis kyllä hieno asia ja sen suosio on parempi nähdä positiivisena asiana, itse en kuitenkaan ole vielä tulossa palvelun piiriin. Syy on se, että Signal perustuu yksinomaan käyttäjänsä aktiiviseen puhelinnumeroon, se siis vaatii puhelinnumeroa, jonka ympärille se luo käyttäjäprofiilin.

Signalissa olet siis puhelinnumero, se yhdistää ja hakee käyttäjiään näiden puhelinnumeroilla, puhelinnumeron pitää olla siis julkinen palvelun sisällä.

Signal kysyy myös oikeutta puhelimesi yhteystietoihin, kun tämän luvan annat, analysoi se kaikki yhteystietosi puhelinnumerot ja listaa ne yhteystiedot myös Signaliin, jotka ovat puhelinnumeronsa palveluun antaneet. Tämä tarkoittaa sitä, että jos jollakin on sinun puhelinnumerosi yhteystiedoissa, löytää se myös Signaaliin käyttäjän yhteystietoluetteloon.

Toki tuo on helpottava ominaisuus ja suurin osa varmasti sitä myös arvostaa. Minun tapauksessani asia ei kuitenkaan ole niin yksinkertainen, nimittäin minulla on yhteystiedoissa myös muutamia niin sanottuja estolistoja, yhteystietoryhmiä, joissa on kymmeniä numeroita. Numerot ovat lähinnä suoramarkkinoijia, robottipuhelimia, huijareita ja muita häiriötekijöitä, nämä yhteystiedot lisään sitten puhelimeni sisäiseen estolistaan, puhelin estää näistä numeroista tulevat yhteydenotot automaattisesti.

Signal ei kuitenkaan voi mitenkään ymmärtää tätä, ja tässä tullaankin puhelinnumerokirjautumisen yhteen suurimmista vioista. Sovellus kun pyytää yhteystietoja, se on joko kaikki tai ei mitään periaatteella, jos annat sovellukselle luvan, menee sinne myös estolistasi.

Signalin tapauksessa, nyt kun annat yhteystiedot sinne ja joku estolistalla oleva on palvelussa, näkyy tämä yhteystieto signalin sisäisessä yhteystietoluettelossa ja tuolloin myös sinun puhelinnumerosi ilmestyy tämän käyttäjän Signal yhteystietoihin, halusit tai et.

Ratkaisu tähän olisi yksinkertainen, jätetään puhelinnumeroprofilointi ja luotetaan sähköpostiin, joko kokonaan tai vaihtoehdoksi puhelinnumerolle.

Näin tekee muun muassa Wire, joka tarjoaa samankaltaisen, ellei paremman pikaviestikokemuksen kuin nyt suosiota nauttiva Signal.

Toki voit käyttää Signalia ilman että jakaisit yhteystietosi, tuolloin joudut painelemaan haluamasi yhteystietojen puhelinnumerot palveluun käsin, pieni vaiva mutta suositeltava toimenpide, mikäli et halua mainostaa puhelinnumeroasi kaikille yhteystiedoissasi oleville.

08 marraskuuta, 2020

Vinkki: Tarkista modeemisi WLAN-asetukset, verkkosi saattaa olla vaarassa!

Kuvan modeemi ei liity tapaukseen.
Minulla on muutamia taloyhtiön vanhoja kuitumodeemeita hallussani ja niissä on useammissa WLAN-modeemi mukana, yksi näistä minulla on testiverkossani käytössä ja asennettuani Äitini vanhaa iPadia siihen, ilmoitti iPad että modeemini WLAN-asetukset ovat tietoturvaltaan kehnoja ja kehotti tarkistamaan modeemin asetukset.
 
En ole kyseistä modeemia juurikaan miettinyt ja se on saanut testiverkostani operaattorin hallinnoimana uusimmat sovelluspäivitykset automaattisesti. Päivitykset eivät tietenkään tee käyttäjän asetuksille mitään, joten kaikki ovat olleet samassa tilassa aina vuodesta, ehkä jopa 2016 lähtien.
 
Mikään muu laite ei ole WLAN-asetuksien tietoturvasta valittanut ja yleensä kyllä huolehdin siitä, että laitteeni ovat tietoturvaltaan maksimissa, vaikka se tarkoittaisi käytettävyyden kannalta ongelmia.
 
Testiverkkoni on kuitenkin rautapalomuurin takana, joten oletin, ettei mikään ylimääräinen verkkoani pitäisi päästä häiritsemään. Toisin kuitenkin on silloin kun kyseessä on WLAN-modeemi, yhteydet menevät suoraan kuidusta WLANiin mikä on ikään kuin yksi LAN-portti, jota ei sitten tämä palomuurini suojaa. LAN itsessään on toki suojattu mutta modeemi ei.

Minun verkkoni tapauksessa hyökkääjä ei olisi paljon kuitenkaan yhteydestä modeemiini hyötynyt, sillä se ei tarjoa itsenäisesti laitteille IP-osoitteita, eikä se hyväksy ulkopuolisia IP-osoitteita, edes kiinteänä.

IPad valitti siis siitä, että minulla on TKIP+AES asetus päällä WPA2 verkossani. Itseasiassa WPA2 ylipäätänsä on jo vaarantunut ja sen tietoturva on uhattuna mutta vanhemmissa modeemeissa ei parempaakaan ole ikävä kyllä tarjolla.
 
TKIP osuus tuosta, ei sinänsä ole yhtään sen parempi suojaustekniikka kuin WEP, joka murrettiin jo vuosia sitten, joten tuon heikkouden ansiosta vanhat laitteet kyllä toimivat verkon kanssa paremmin mutta samalla myös verkon salasana ja siinä kulkevat laitteiden väliset kättelyt ovat yksinkertaisen helppoa seurattavaa selkokielisenä hyökkääjän ruudulta.
 
Apple on siis tehnyt hyvääkin ja muistutti käyttäjäänsä tästä ongelmasta. Viesti voisi kuitenkin olla astetta selkeämpi, nyt iPad vain kertoi verkon olevan vaarassa heikkojen suojausasetuksien vuoksi.
 
Pelottelun sijasta, ilmoitus voisi ohjeistaa käyttäjää vain poistamaan tuon TKIP -osan suojauksista ja käyttävän pelkkää AES -suojaustekniikkaa.
 
Kun käyt tarkistamassa ja asettamassa ylipäätänsä WLAN –asetukset (jotkut sanovat “wifi”), tarkista että suojausasetuksissa ei ole käytössä TKIP/AES tai TKIP+AES (ylipäätään TKIP merkintää). Ota käyttöön pelkkä AES.
 
Joissain modeemeissa merkintä saattaa olla sekavampi ja suosittelen tutkiskelemaan modeemin ohjekirjaa tuosta kohtaa, sekä huolehtimaan siitä että modeemissa on aina viimeisin softapäivitys "firmware".
 
Uusimman päivitysversion löydät modeemisi valmistajan tuotesivuilta tai mikäli mahdollista, käytä modeemisi automaattista päivitystoimintoa mutta muista tarkistaa, että päivitys myös toimii.

04 huhtikuuta, 2020

COVID-19: Telia tarjoaa valtiolle urkintatyökalua


Telia on vapaaehtoisesti tehnyt valtiovallalle erityisversion sen yrityksille tarjoamasta Crowd Insights -analytiikkadata palvelusta, jonka avulla voidaan seurata massojen liikennettä rajanylitysalueilla ja sen läheisyydessä.

Työkalun avulla voidaan seurata ilmeisen reaaliaikaisesti ihmisten liikkeitä, perustuen Telian puhelinmastojen dataan ja erityisesti sitä kuinka moni päätelaite ottaa niihin yhteyttä.

Tämä voi kuulostaa varsin viattomalta ja hyvin mielenkiintoiselta palveluta mutta mitä ilmeisemmin kyse on paljon suuremmasta asiasta. Telia tarjoaa palvelua valtioneuvostolle josta data jaetaan tarvitseville/halukkaille viranomaisille, kuten poliisille.

Telia väittää, että tieto palvelussa on anonymisoitua, joten yksittäisiä henkilöitä ei sieltä pysty saamaan selville. Tämä voi olla totta mutta joka tapauksessa tieto perustuu päätelaitteeseen, se tarjoaa tuolloin verkolle muun muassa puhelimen yksilöidyn IMEI koodin sekä SIM-kortin ID:n ja tietenkin puhelinnumeron, nämä tiedot riittävät yksilöimään jokaisen käyttäjän ja Telian työkalusta on aivan varmasti helppo tehdä versio joka nämä tiedot tarjoaa viranomaisille ja varmasti myös muille merkittäville tahoille.

Telia väittää lehdistötiedotteesaan, että näitä tietoja ei ole saatavilla: “Telian Crowd Insights -data on anonymisoitua, eikä yksittäisten ihmisten liikkeitä ole mahdollista seurata. Datasta kuitenkin voi päätellä suurten ihmisvirtojen liikkeitä”. Lisäten kuitenkin heti perään: “Tiedot perustuvat siihen, miten päätelaitteet, kuten puhelimet yhdistyvät mobiiliverkkoon eri paikoissa”. Joka osin kumoaa aikaisemman väitteen.

Tämä työkalu on siten vaarallinen, koska se tarjotaan valtiovallan käyttöön yksityisen yrityksen vapaaehtoisuuteen perustuen, sisältäen asiakastietoihin perustuvaa dataa (vaikkakin anonymisoitua). En ole tietosuojalain kaikista pykälistä selvillä mutta luulisi että tämänlainen toiminta ei ole ihan ok, ei edes poikkeustilassa.

Jos Crowd Insight palvelu on niin viaton kuin sen mainostetaan olevan, annetaan siihen sitten oikeudet kaikille, minua statistiikkanörttinä kyllä kiinnostaisi nähdä mobiiliverkon mastojen käyttödataa, kyllähän nytkin avoimena datana näytetään esimerkiksi FICIX –internet liikenteen datamassat, yksinkertaisina kaavoina.

Mikä Crowd Insights?

Telia tarjoaa Crowd Insights palveluaan yrityksille, kyseessä on ihmismassojen seurantaan perustuva palvelu, jota voidaan hyödyntää vaikkapa kauppakeskuksien, festareiden sekä miksei myös kokonaisten kaupunkien suunnitellussa.

Palvelun verkkosivuilla mainostetaan että se on EU:n GDPR yhteensopiva ja että kaikki data on visusti anonymisoitua. Hyvä on, kuten sanoin anonymisointi on varmasti täysin totta mutta silloin kun pelataan valtioiden kanssa, siitä anonymiteetistä tulee mitätön asia, varsinkin silloin kun palvelusta keskustellaan valtioneuvoston turvallisuusjohtajien kanssa.

Telian historia suomessa on kuitenkin lähtöisin valtion puhelinlaitoksesta, joten sen sisäinen kulttuuri on siten hyvin valtiomielinen, Telialta tämänkaltaiseen palveluun ei siten voi suoranaisesti luottaa, varsinkaan kun palvelun asiakaskuntaan tulee valtioita.

Poista seuranta ja tietosi palvelusta:

Telia tarjoaa mahdollisuuden kieltää tietojesi käytön palvelussa ja tämä tapahtuu antamalla puhelinnumero, ei IMEI-koodilla, joka olisi vielä varmempi tapa.

Kun olet antanut puhelinnumerosi sivulle, saat tekstiviestin jossa on koodi mikä pitää vielä antaa samaiselle sivulle. Tämän jälkeen saat sivulta tiedon “Tietosi on poistettu palvelusta”.

Itse kokeilin tätä DNA -sekä ELISA puhelinnumeroillani, kummatkin menivät läpi!. Joten tarkoittaako tämä silloin sitä, että Telia on kerännyt dataa myös muiden operaattoreiden asiakkaista ja silti väittää olevansa EU:n GDPR tietosuoja-asetuksia kunnioittava palvelu? OK!

Kuten sanoin aiemmin, en tunne näitä lakeja, pykäliä sekä asetuksia täysin, en edes keskiverron verran, joten ei kai tässä auta muuta kuin kysyä asiasta tietosuojavaltuutetulta.

Palaan asiaan kun vastaus on saapunut.

En pysty myöskään sanomaan, poistaako tuo sivulla oleva poistopyyntö myöskin datan jota nyt tarjotaan viranomaisille, arvelen että tuskin kuitenkaan.

26 kesäkuuta, 2019

Google pettää aina (osa 2000)


Google pettää aina, tuli todettua taas, kun selvisi että Google rajoittaa palveluitaan jälleen kerran.

15.07.2019 astuu voimaan rajoitukset, jotka estävät kolmannen osapuolen sovellusten ottamasta yhteyttä rajapintaan joka ohjaa liikennettä sovelluksesta Gmailiin sekä muihin Googlen palveluihin.

Rajoituksen syyksi kerrotaan tietoturva, asia on ymmärrettävä, kun kyseessä on tietoturvan vaarantava sovellus, joka haluaa ottaa yhteyttä käyttäjän tiliin. Nyt kuitenkin kyseessä ei ole ohjelma, joka olisi tietoturvaltaan heikko tai sellainen, joka vaarantaisi Google tilien tietoturvan.

Kyseessä on noin 10 vuotta vanha sovellus nimeltä SMS Backup+, jonka ainoa tarkoitus on kopioida puhelimen tekstiviestit Gmailiin ja joka osaa kopioida viestit myös puhelimeen takaisin.


Hyvä on, Google tiukentaa rajapintaan pääsyä mutta tarjoaa sovelluskehittäjille mahdollisuuden pyytää omalle sovellukselleen erityisluvan, kunhan sovellus täyttää Googlen datakäytännön edellytykset ja vaatimukset.

SMS Backup+ kehittäjä läpäisi edellytykset mutta Google eväsi API-pääsyn joka tapauksessa, vedoten siihen että koska SMS Backup+ käyttää Gmailia, sen pitäisi tuolloin myös tarjota käyttäjilleen mahdollisuuden nähdä sähköpostit sovelluksesta käsin. Google siis vaatii ohjelmien olevan tietynlaisia toiminnoiltaan, jotta se pääsisi läpi ja saisi oikeudet, melko absurdia jopa Googlelta.

Nyt täytyy muistaa, ettei käytännöissä ole mainintaa ohjelman toiminnoista, vain siitä kuinka se käsittelee käyttäjien dataa, ennen kaikkea kirjautumisvaiheessa.

Hyvä on, ohjelma ei enää saa kirjautua Gmailiin käyttäen Googlen tietoturvaltaan vahvoja kirjautumis- käytäntöjä, vaan nyt ohjelmien käyttäjien data joutuu eritoten vaaraan, kun he joutuvat ottamaan käyttöön IMAP -kirjautumisen jolla muun muassa SMS Backup+ ohjelma voi jatkaa toimintaansa. Tämä ei ole mikään pikku juttu koska IMAP-kirjautumisella ohitetaan kaikki se työ tietoturvan osalta jota Google on saanut aikaiseksi aiemmin. Käyttäjien pitää luoda nyt yksittäinen salasana IMAP-käyttöoikeutta varten, tämä ohittaa muun muassa kaksivaiheisen kirjautumisen ja sovellusten tarkastuksen. IMAP-käyttöoikeuden saatuaan, ohjelmalla on kaikki oikeudet käyttäjän Gmailiin.

Googlella edetään yksinkertaisuus edellä, johtuukohan se siitä että yhtiön palveluiden johdossa on henkilöstöä joilla ei ole minkäänlaista käsitystä siitä kuinka nämä järjestelmät toimivat, he kun näkevät jossakin ongelman, he joko sulkevat tai rajoittavat toimintoja sitä mukaan. Tämä taas aiheuttaa sen ettei yhtiön palveluiden varaan ainakaan kannata rakentaa enää yhtikäs mitään, luottoa kun ei enää ole.

Ars Technican artikkeli aiheesta: https://arstechnica.com/gadgets/2019/06/gmails-api-lockdown-will-kill-some-third-party-app-access-starting-july-15/

Tässä vielä viesti jonka sain Googlelta:

Google-tilisi datan käyttörajoitus

24 tammikuuta, 2019

Päivitin #pfsense koneeni 🤓


Minun palomuurinani on palvellut hyvin Dellin vanhempi OptiPlex, jonka valitsin yksinomaan sen pienen koon vuoksi. Se että sieltä löytyi myös Intelin Core Duo prosessori ja huimat 8 gigatavua keskustemuistia oli vain mukava bonus ja täydellinen pfsensen ajoon.

Kone on kuitenkin aina pitänyt melkoisen kovaa meteliä, sen prosessorijäähdyksestä vastannut tuuletin kun on rakennettu siten että se huutaa sitä mukaan kun prosessorissa on kuormaa, eikä miten kuumana prosessori käy, joten uusi kokoonpano oli löydettävä ja nyt sellainen mahdollisuus tuli.

Uudessa palomuurissa on Intelin yksi ensimmäisistä i7 -prosessoreista mutta tällä hetkellä vain 6 gigatavua keskusmuistia, tämä ollaan päivittämässä heti kun tarpeeksi suuria DDR3 kampoja ilmaantuu. Kone on myös hyvin hiljainen, mitä nyt virtalähteen tuuletin on vähän kovempi ääninen kuin yleensä, sekin vaihtuu heti kun kerkiän toisen siihen vaihtamaan :)

Uuteen koneeseen liitin myös SSD levyn jossa pfsense luuraa, kloonasin palomuurisoftan siihen tuosta optiplexistä koska en jaksanut alkaa sitä alusta asti säätämään. Tämä kuitenkin aiheutti sen että minun piti uudelleen konfiguroida levyn osioiden koot jotta saan uudesta SSD-levystä kaiken levytilan pfsensen käyttöön.

Levytilaa kuluttaa monet monitorointisovellukset ja niiden logimerkinnät, sekä toki myös oheissovellukset joita järjestelmään asennan. SSD:stä on hyötyä myös latausajoissa, kuten suurten logien näyttämisessä ynm.. ja tietenkin uudelleenkäynnistymisen nopeudessa, vaikkei toki pfsenseä tarvitse useinkaan uudelleenkäynnistää, on hyvä tietää että sekin on nopeampaa kuin aikaisemmin.

Hieman tuli ongelmiakin:

Osioiden päivitys ei kuitenkaan käynyt aivan kädenkäänteessä, BSD käyttämä UFS-tiedostojärjestelmä oli minulle täysin uusi tuttavuus, ensiksi kun koitin resizeä osiot linuxin puolella mutta linux ei omaa UFS-työkaluja. Homma kuitenkin lopulta onnistui auttavan FreeBSD irc -ryhmän avulla ja freeBSD (mihin pfsense pohjautuu) omilla työkaluilla. Tosin ei suoraan sillä pfsensessä on kummallisia virityksiä swap osion käyttöönotossa ja se oli pakko kytkeä pois päältä ja poistaa kokonaan jotta pystyin siirtämään vapaan levytilan root osioon. Järjestelmä ei ensimmäisellä kerralla käynnistynyt koska swap osio ja fstabin tiedot eivät vastanneet uutta osiojärjestystä, muutaman kloonauksen jälkeen kuitenkin lopulta sain osioinnit kuntoon ja vapaan levytilaan juurelle :)

Linux tyyppisissä järjestelmissä ja niiden säätämisisissä tosiaan oppii lähes joka päivä jotain uutta ja mielenkiintoista.

Jos haluat itsellesi erinomaisen ja monipuolisen palomuurin jonka voit helposti asentaa vaikkapa turhaksi jääneeseen vanhempaan tietokoneeseesi, suosittelen tähän ehdottomasti pfsenseä jonka löydät: https://www.pfsense.org/

27 heinäkuuta, 2018

Pölinää saunassa: Takaisin Googlen pariin


Hassusti sattui että nyt koko heinäkuu on ollut minulle säätökuukausi. Olen muuttanut paljon asioita edellisestä, jossa minua kismitti Googlen suoranainen vakoilu sekä tietojen kuten sähköpostien edelleen jako lisäosien kehittäjille ja monet muut seikat kuten mainonta.

Joten päätin luopua Googlesta kerralla ja samalla suojata koko liikkumiseni internetissä hyödyntäen ProtonVPN palvelua, asensin ProtonVPN profiilit pfsense palomuurini ja siirsin sähköpostini, kaikki yli 11 000 yksittäistä postia sekä niiden hakemistorakenteet Protonmailiin.

Kummatkaan toiminnot eivät sitten lopulta olletkaan sellaisia vaihtoehtoja joiden kanssa pystyisin jatkamaan tehokkaasti, joten jouduin ikävä kyllä luopumaan koko verkon tunneloinnista ja ajan jatkossa VPN:ää laitekohtaisesti ja tarpeen mukaan.

Protonmail taas ei ollut oikea ratkaisu käyttäjälle joka haluaa hallinnoida tai organisoida sähköpostejaan tehokkaasti.

Tässä muutamia epäkohtia Protonmailista:

Protonmailin käyttöliittymä on kankea ja varsin rajoitettu, kuten esimerkiksi palvelu ei tue alihakemistoja, joka on todella tärkeä ominaisuus jos sähköposteja on paljon. Käyttöliittymää ei selkeästi ole suunniteltu käyttäjille jotka varastoivat sähköpostejaan, se on tarkoitettu salattuun viestittelyyn jossa yleensä viestin lukemisen jälkeen se poistetaan palvelusta, tämä ei ole minun "use case".

Kansionäkymässä voi näkyä kerrallaan 50 viestiä tai keskustelua, jos haluaa nähdä lisää on seuraavat 50 viestiä pyydettävä käyttöliittymän nuolipainikkeesta (seuraavat 50 viestiä). Ei kovin tehokasta.

Sähköpostin hallintaan Protonmail kuitenkin tarjoaa vaihtoehdoksi Bridge- nimistä sovellusta joka tarjoaa yhteyden Protonin salattuun palvelimeen esimerkiksi Thunderbird sähköposti -sovellukseen.

Bridge on kuitenkin vielä pahasti kesken, niin sen Windows- että Linux versiot tarjoavat useammin time out- virhesanomaa kuin luotettavaa, nopeaa ja pysyvää yhteyttä palvelimeen.

Protonmailin mobiilisovellus ei ollut myöskään vielä läheskään valmis, mikäli sähköpostilaatikkosi on suuri, ei mobiilisovellus pysty sitä kunnolla esittämään, sovellus jäätyy useaksi sekunniksi kun se yrittää väkisin ladata viestejä välimuistiinsa.

Joten Protonmail saa toistaiseksi jäädä vielä pois vaihtoehdoista.

Google G Suite:

Yllättäen päätin kokeilla kuitenkin vielä Googlen yrityksille tarkoitettua G Suite -palvelua jonka tarkoitus on tuoda Googlen palvelut ja sovellukset käyttöön yrityksen domainin alle, siten että yritys pystyy hallitsemaan niiden toimintoja, kuten esimerkiksi salauksia.

G Suiten sisällä tapahtuva liikenne sekä varastointi on suojattua ja niiden pitäisi olla Googlen seurantatoimintojen ulkopuolella, tästä en kuitenkaan pysty olemaan satavarma.

Hienoin toiminto on kuitenkin se että G Suiteen on mahdollista saada rajaton pilvitallennustila, kyllä RAJATON. Se onnistuu siten että asetat G Suiteen vähintään 5 erillistä tunnusta tai käyttäjää ja otat niihin G Suiten toiminnot käyttöön.

Kun tämä on tehty, levytila on aidosti niin Photosissa, Gmailissa kuin myös Drivessä täysin rajaton.

Siis suojattu rajaton pilvitallennustila nopealla Google Drive alustalla, joka on kaiken lisäksi erittäin hyvin tuettu, esimerkiksi Linux jakeluissa monet työpöydät tarjoavat suoran tuen Drivelle siten että ne osaavat liittää Google Driven suoraan käyttöliittymään, jolloin tilaa voi käyttää kuin paikallista levytilaa, tosin sillä erotuksella että Drivessä levytilaa on rajattomasti, huomastiko RAJATTOMASTI?

Tämä koko lysti maksaa kuukaudessa 40 euroa, eli 8 euroa per käyttäjä, ei todellakaan paha hinta rajattomasta ja hyvin pitkälle lopullisesta levytilasta.

Jos levyjä ostaisi itse ja hostaisi omaa palvelua, söisi se sähköä, lisäisi ylläpitotöitä, levyjen lisäyksiä, uusien nassien hankkimista, se tulee varmasti kalliimmaksi kuin 480 euroa vuodessa, jatkuva uusien levyjen lisäily ja vanhojen kunnon tarkistaminen ja päivittäminen. EI nyt on tilanne se että Hey Google! Just take my money!

Tässä on kuitenkin vielä tietynlaisia jännitysmomentteja sillä minulle annettu 14 päivän kokeilu ei ole vielä umpeutunut joten minua ei ole laskutettu vielä mistään. Nyt jännittääkin se onko tässä jotain mahdollisia piilokustannuksia taustalla pyörimässä, vai onko palvelu aidosti vain tuon tasan 40 euroa kuukaudessa joka minun kortiltani veloitetaan? Tämä jää nähtäväksi mutta toistaiseksi olen varsin innoissani tästä ratkaisusta.

Täytyy vielä mainita että G Suiten tukitiimi on erinomainen, se on auttanut minua nyt varsinkin sähköpostihässäkän kanssa ja vielä useamman tunnin ajan, heillä ei ole aikarajoituksia kuinka kauan asiakkaan kanssa saa olla kerralla yhteydessä, ainakaan toistaiseksi sellaista ei ole tullut vastaan ;)

07 huhtikuuta, 2017

Olenko saanut tarpeekseni Googlen nykyisestä toiminnasta?

Google on viime aikoina määritellyt itsensä kaikkena muuna kuin palveluidensa käyttäjiä puolustavana tahona.

Esimerkiksi YouTube ei palvele enää katsojia, eikä varsinkaan sisällöntuottajia. YouTube kehittää palveluaan mainostajat etusijalla.

Toki raha on tärkeää mutta mielestäni Google on ylittänyt rajan ja YouTuben tilanne on siitä erinomainen esimerkki.

Sisällöntuottaja ei saa julkaista Tubessa ihan mitä tahansa videoita vaan niiden on noudatettava erityistä mainostajien nuolemissäännöstöä tai muuten YouTube ei tarjoa mainoksia kyseisellä videolla.

Videolla ei esimerkiksi saa puhua maailmaa ravisuttaneista tapahtumista, kuten esimerkiksi luonnon aiheuttamista katastrofeista. Jos kuitenkin näin teet, on palvelulla oikeus poistaa mainonta tältä videolta, tosin videolla edelleen saatetaan näyttää mainoksia mutta sisällöntuottaja ei siitä saa pennin äyriä.

Itsekin olen joutunut jo kohtamaan YouTuben älyttömyyden mutta jossa kuitenkin voitin tapauksen ja kanavani on siten taas kunnossa.

Nyt se mikä sai minut kirjoittamaan tämän jutun, on eräs selainliitännäinen jota olen tykännyt käyttää jo pidemmän aikaa.

YouTube+Kyseessä on YouTube+ niminen liitännäinen joka tarjoaa YouTuben käyttäjälle paljon lisätoimintoja YouTube.com sivustolle, kuten videokuvauksen näkymisen heti kokonaan, lisätietoja kommenttien kirjoittajista, pienen videosoittimen sivun alakulmaan siksi aikaa kun selaa kommentteja.

Aikaisemmin liitännäinen on toiminut pelkästään niin sanottuna selainskriptinä, joka ei niinkään ole selaimen liitännäinen vaan ohjelmapätkä joka ajetaan tietyn sivun päälle, toisen liitännäisen avulla joka sen ohjelmapätkän osaa käynnistää oikealla sivulla ollessa.

Myöhemmin kuitenkin YouTube+ kehittyi niin paljon että siitä pystyttiin luomaan Chrome selaimeen ihan oikea liitännäinen ja sen pystyi lataamaan kuka tahansa Chromen sovelluskaupasta (Webstore).

Nyt joka tapauksessa, ilman mitään varoitusta Google on tehnyt siten että se on poistanut liitännäisen Chromen omasta sovelluskaupasta ja siten myös käyttäjien selaimista! Eli Google on tullut yksittäisten henkilöiden koneille ja poistanut heidän itsensä asentamia ohjelmia, aivan sama vaikka kyseessä olisikin Googlen kehittämän selaimen liitännäinen, ei sillä pitäisi olla mitään oikeuksia poistaa tiedostoja käyttäjien TIETOKONEILTA.

Ikävän myöskin asiasta tekee se ettei YouTube+ kehittäjät ole saaneet minkäänlaista syytä tai varoitusta miksi Google on heidän liitännäiselleen näin tehnyt.

Jo alusta saakka YouTube+ liitännäisen hakeminen on ollut hyvin vaikeaa Chromen sovelluskaupasta, se löytyi hakusanalla Youtube Plus mutta vasta useamman hakutuloksen alta, väliin mahtui myös tuloksia jotka eivät liittyneet edes etäisesti YouTubeen.

Olen aika varma että jos ja kun Google tulee kertomaan syyn kehittäjille miksi liitännäinen on poistettu, on syynä se että YouTube+ pystyy estämään YouTubessa pyörivät mainokset, hyvinkin seikkaperäisesti, siinä on esimerkiksi toiminto jonka avulla käyttäjä voi tukea seuraamiaan sisällöntuottajia näyttämällä vain heidän videoissaan mainoksia kun se taas estää kaikilta muilta mainokset näkymästä.

Jos Google käyttää syynä mainosten estoa (koska se rikkoo YouTuben/Googlen ehtoja kohdasta jossa ei saa tuottaa sovelluksia jotka muuttavat palvelun toimintoja), pitäisi Googlen tuolloin poistaa myös kaikki muut YouTubea muokkaavat lisäosat joita on todella paljon, mainosestäjistä puhumattakaan.

Enempi vaikuttaa että joku Googlella ei yksinkertaisesti pidä YouTube+ liitännäisestä tai sen kehittäjästä Kameron Kitajima-Kimbrel:sta joka on LinkedIn profiilinsa mukaan myöskin Googlen työntekijä.

Google ei pysty kuitenkaan puuttumaan YouTube+ skriptiversioon joka on edelleen ladattavissa YouTube+ GitHub projektisivulta.

YouTube+ on saatavilla myös Firefox selaimelle.

29 tammikuuta, 2017

Tietoturvabugi EA:n tukipalvelussa

Tietoturvabugi EA:n tukipalvelussaJouduin tilanteeseen jossa EA/Origin pelitilini oli joutunut eräänlaiseen limboon kirjautumistilanteessa ja otin yhteyttä EA:n tukipalveluun.

EA tarjoaa sen Yhdysvaltalaisilla tukisivuillaan chat-mahdollisuutta, eli reaaliaikaista tekstipohjaista neuvontaa tukihenkilöstön kanssa.

Toki hain tätä palvelua jotta voisin saada tilini kaksivaiheisen kirjautumisen nollattua, koska en pystynyt syöttämään vaadittuja tunnuksia kirjautumisen aikana ja tiesin että chatin kautta asia hoituu nopeasti pois päivän järjestyksestä.

Turvakysymykset vastauksineen ovat esillä keskusteluhistoriassa:

Huomasin kuitenkin että EA:n tukipalveluihin pystyy kirjautumaan pelkällä salasanalla, eli se ei vaadi käyttäjältä kaksivaiheista kirjautumista (numerosarjaa esimerkiksi sähköpostiin lähetettynä).

Ilman erikseen lähetettävää numerosarjaa ei pysty tekemään tiliin muutoksia mutta esimerkiksi aikaisemmat tuen kanssa käydyt chat-keskustelulokit ovat nähtävillä pelkän salasanan takaa.

Tämähän ei vielä kuulosta kovin vakavalta mutta jotta tukihenkilö pystyy nollaamaan kaksivaiheisen kirjautumisen tai muuttaa tilin asetuksia, tarvitsee hänen tietää tunnukselle jätetyt niin sanotut turvasanat tai vastaukset turvakysymyksiin, näitä on tunnuksella yleensä kaksi tai kolme.

EA:n chatissa tukihenkilö pyytää turvakysymyksiin vastauksia

Otetaanpa esimerkki tapaus:

Käyttäjä on käynyt joskus aikaisemmin chat keskustelua tuen kanssa, tuolloin tuki on pyytänyt vastauksia näihin turvakysymyksiin ja ne ovat myöskin näissä pelkän salasanan takana näkyvissä keskustelulokeissa esillä.

Jos käyttäjän tunnus on joutunut vääriin käsiin, voi tuolloin tilin kirjautumistiedot tietävä henkilö ottaa yhteyttä tukeen ja pyytää kaksivaiheisen kirjautumisen nollaamista tai poistamista kokonaan käytöstä kyseisestä kaapatusta tilistä ja kun tuki kysyy turvakysymykset, on ne löydettävissä helposti keskusteluhistoriasta.

Tuen henkilökunta ei voi tietää mitenkään että kyseessä on juurikin tilin väärinkäyttäjä.

Turvakysymykset on muutoin kyllä piilotettu tilin asetuksissa niin että mikäli niitä haluaa muuttaa tai nähdä, täytyy kaksivaiheisen kirjautumisen numerokoodi tuolloin syöttää sivulle.

Turvakysymykset ovat siis turvassa kyllä jos tilin omistaja ei ole niitä tukipalveluun vielä kertaakaan kertonut.

On joka tapauksessa selvää se että niin kuin myös salasanan vaihtaminen, niin myös turvakysymyksien ja vastauksien muuttaminen ja vaihtaminen on yhtä tärkeitä.